Hackers do grupo autodenominado ResumeLooters comprometem sites de recrutamento e varejo usando injeção de SQL e ataques XSS (cross-site scripting). Entre novembro e dezembro do ano passado, a gangue roubou mais de 2 milhões de endereços de e-mail e outras informações pessoais de pelo menos 65 sites, informa a empresa de inteligência de ameaças Group-IB.
Baseando-se principalmente em ataques de injeção de SQL, o ResumeLooters está ativo desde o início de 2023, vendendo as informações roubadas em grupos de Telegram com tema de hacking de língua chinesa. Como parte da campanha de novembro a dezembro, o grupo atingiu principalmente locais na Índia (12), Taiwan (10), Tailândia (9), Vietnam (7) e China (3). Contudo, também foi visto visando vítimas na Austrália, Filipinas, Coreia do Sul, Japão, EUA, Brasil, Rússia e Itália.
O grupo se concentrou principalmente em comprometer websites de varejo e de recrutamento, mas também foram identificadas vítimas nos setores de serviços profissionais, entregas, imobiliário e investimento.
Os ataques observados se assemelharam aos lançados pelo GambleForce, um operador de ameaças que depende de injeções de SQL para comprometer sites de jogos de azar e governamentais na Ásia-Pacífico. Assim como o GambleForce, o ResumeLooters foi visto usando várias ferramentas de código aberto e estruturas de teste de penetração em seus ataques de injeção de SQL. A principal diferença entre eles, no entanto, é que o ResumeLooters também usou scripts XSS injetados em sites legítimos de busca de empregos, destinados a exibir formulários de phishing e coletar credenciais administrativas. Os scripts foram executados em pelo menos quatro sites e em alguns dispositivos com acesso administrativo.
Em um caso, o grupo criou um perfil de empregador falso em um site de recrutamento e injetou um script XSS usando um dos campos do perfil. Em outro caso, o código XSS foi incluído em um currículo falso. Através da injeção de consultas SQL maliciosas, o operador da ameaça conseguiu recuperar bases de dados contendo cerca de 2,2 milhões de linhas, das quais mais de 500 mil representavam dados de usuários de sites de emprego.
Veja isso
Servidores MySQL são alvo da botnet Ddostf
Hackers invadem servidores SQL para implantar ransomware
“É confirmado que ResumeLooters roubou vários bancos de dados contendo 2.079.027 e-mails exclusivos e outros registros, como nomes, números de telefone, datas de nascimento, bem como informações sobre a experiência e histórico de emprego dos candidatos a emprego”, afirma o Group-IB.
Se aproveitando a má segurança e práticas inadequadas de gestão de bases de dados, esses ataques demonstram quanto dano pode ser causado com ferramentas disponíveis publicamente, observa o Group-IB, salientando que as empresas podem facilmente evitar serem vítimas de grupos como GambleForce e ResumeLooters.
“Além da exposição potencial dos dados dos candidatos a emprego — incluindo números de telefone, endereços de e-mail e outras informações pessoais —, vários grupos APT poderiam aproveitar esta informação para atingir ainda mais indivíduos específicos”, observa a empresa de segurança cibernética.
